WEB开发网
开发学院网络安全安全技术 计算机安全取证之初识文件系统元数据记录 阅读

计算机安全取证之初识文件系统元数据记录

 2008-09-10 13:24:08 来源:WEB开发网   
核心提示: mtime(modify time)反映的是文件数据最后被修改的时间,系统调用比如write、 trucate、 mknod 都会改变mtime,计算机安全取证之初识文件系统元数据记录(2),Mtime属性只能记录最后一次的文件内容修改的时间,之前的文件内容修改的时间则无法记录,先从Met

mtime(modify time)反映的是文件数据最后被修改的时间,系统调用比如write、 trucate、 mknod 都会改变mtime。Mtime属性只能记录最后一次的文件内容修改的时间,之前的文件内容修改的时间则无法记录。一些木马程序通过动态库的形式注入到系统进程时,则会修改相关系统进程的Mtime时间属性。ctime(change time)反映的是文件的inode结构最后被改变的时间,文件在创建时产生的时间信息。atime(access time)反映的是文件数据最后被访问的时间。当系统调用execve、read、 mknode、utime、pipe等都会修改atime。如果直接访问文件查看atime的属性,则会是当前访问文件的时间属性。

虽然MACtimes很有用,但它还是存在着一些问题:它只能记录文件的最后时间,因此不能了解文件或目录的历史行为。比如一个程序能够被执行1000次,而用MACtimes只能看到最后一次的记录。MACtimes中的三个时间很容易被修改,很多是在用户并不希望发生的情况下出现的,如一些误操作。另外MACtimes也是比较容易被伪造的,WinNT提供了用来修改ctimes的SetFileTime()命令等。

为了最大限度地利用MACtimes,最好将MACtimes与其他信息收集方法结合起来,如:运行程序,进程统计,系统和程序的日志,内核审计和通常的审计等。

在认识了计算机取证的MACtimes知识后,叶子举例说明在Windows平台上修改相关的MACtimes的信息内容。先从Metasploit网站上的Anti-Forensic项目中下载Timestomp工具,下载链接:http://www.metasploit.com/research/projects/antiforensics/。Timestomp工具是针对Windows系统的NTFS文件格式的时间戳的MAC times的修改。

Tags:计算机 安全 取证

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接